לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור

פתח דבר

הדוח המונח היום על שולחן הכנסת הוא ראשון מסוגו, והוא מציג את תוצאות הביקורת בתחום הגנת הסייבר, טכנולוגיות המידע והגנת הפרטיות. 

מרחב הסייבר כולל מחשבים, מערכות ממוכנות ורשתות, תוכנות, מידע ממוחשב, תוכן דיגיטלי, נתוני תעבורה ובקרה. המרחב מאופיין בהתפתחות טכנולוגית מהירה, החודרת לכל תחומי החיים ומעצבת את הפעילות החברתית, הכלכלית והמדינתית של האנושות. למרחב הסייבר ולקדמה הטכנולוגית יתרונות רבים לכלכלה ולחברה, אך גלומים בהם איומים שעלולים להשפיע על הרציפות התפקודית של הארגון, על שלמות תהליכים ועל סודיות המידע הארגוני.

נוכח איומי הסייבר ההולכים וגוברים שעימם מתמודדת מדינת ישראל בשנים האחרונות, הגדרתי, עם תחילת כהונתי כמבקר המדינה ונציב תלונות הציבור, את תחום הסייבר כאחד מנושאי הליבה שבהם תעסוק ביקורת המדינה. זאת במטרה לבחון את היערכותם ומוכנותם של הגופים המבוקרים להתמודדות עם הסיכונים המשמעותיים במרחב הקיברנטי, עם האיומים האסטרטגיים ועם אתגרי הסייבר העתידים המונחים לפתחם. 

כדי לפתח ולחזק את יכולותיו המקצועיות של משרד מבקר המדינה בתחום הסייבר ומערכות המידע, ננקטו כמה פעולות עיקריות ובכללן הקמת אגף ביקורת סייבר, שייעודו ביצוע ביקורת בתחום זה, נוסף על האגף הייעודי לביקורת בתחום מערכות מידע וטכנולוגיות מידע; גיוס עובדים בעלי רקע מקצועי ייחודי בתחום הסייבר; קידום תהליך הסמכה בין-לאומית של עובדי המשרד כמבקרי מערכות מידע (CISA); התקשרות עם יועצים חיצוניים בתחום הגנת המידע והסייבר המלווים את צוותי הביקורת בתחומים אלו. 

נוסף על כך, במסגרת ביקורת הגנת הסייבר ביצע משרד מבקר המדינה צעד תקדימי בארץ ובקרב מוסדות ביקורת מדינה בעולם - מבדקי חדירה למערכות הממוחשבות של כמה גופים מבוקרים המדמים תקיפת סייבר. מבדק החדירה נעשה לצורך איתור פגיעויות במערכת הממוחשבת העלולות לסכן את איתנותה בעת ניסיון תקיפה, וכפועל יוצא מכך לשבש את תפקודו השוטף של המערך שנבדק. הבדיקות נעשו בתיאום עם הגוף המבוקר, והגופים המבוקרים תיקנו כבר במהלך הביקורת חלק מהליקויים שעלו בה. 

בשנים 2021 - 2022 ביצע משרד מבקר המדינה ביקורות ייעודיות בנושא הסייבר ואבטחת המידע בתחומי התשתית, החינוך, התחבורה, הבריאות, הכספים והרשויות המקומיות. נבדקו, בין היתר, מערכות המידע והגנת הסייבר במסגרת תהליכי הבחירות לכנסת ה-21, ה-22 וה-23; מאגרים ביומטריים; הגנת הסייבר על מכשירים רפואיים; ניהול מערכות מידע ברשויות המקומיות. במסגרת הביקורות נבחנו הנושאים האלה: שלמותן ואיתנותן של מערכות המידע בגופים המבוקרים; יעילות ההגנות והבקרות הממוחשבות המוטמעות בהן; הגנה על מידע אישי ופרטי במערכות הממשלתיות; השקעה ב-IT; היערכות מוקדמת לאירועי סייבר והתאוששות מאסון; היערכות להתקפות סייבר ופגיעה בתשתיות מדינה קריטיות ועוד. הפרקים בנושאים הללו פורסמו לציבור בדוחות השנתיים של משרדנו. 

דוח זה מיוחד בכך שהוא עוסק כולו בתוצאות ביקורת המדינה בתחום הגנת הסייבר ומערכות המידע. ואלה פרקי הדוח:

  • א. הגנת הסייבר והמשכיות עסקית ביחידת שירות עיבודים ממוכנים ברשות המיסים 

  • ב. הגנת הסייבר במגזר התחבורה

  • ג. ניהול מידע ביומטרי בצה"ל והגנת הסייבר עליו
     


  • ד. הקמת מערכת סחר חוץ חדשה ברשות המיסים - פרויקט "שער עולמי"

  • ה. היבטים באסדרה ובפיקוח בנוגע לספקי המים המקומיים בתחום הגנת הסייבר

  • ו. הגנת הסייבר על מערכות מידע במשרד החינוך ועל בחינות הבגרות וציוני הבגרות 

הביקורת בנושאים האמורים העלתה ליקויים בתחומים אלה: ניהול משתמשים והרשאות; תיעוד וניטור של הגישה לרשת ובקרה עליה; הגנת עמדות ושרתים; סגמנטציה ובקרת זרימה; עדכניות התוכנות; ההקפדה על גישה מאובטחת למערכות, הגנה על מידע אישי של מיליוני אזרחים ועוד.

בשנים האחרונות אנו עדים להתקפות סייבר מסוגים שונים, אירועי כופרה ונוזקה, הונאות, מעילות וגניבת מידע עסקי. זירת הסייבר אף הפכה לזירת לוחמה בין ארגוני טרור ופשיעה למדינות ואף בין מדינות. בשנים הבאות צפוי גידול ניכר בחדירת מרחב הסייבר לשגרת היום-יום, לנוכח התפתחותם של מוצרי IOT (Internet of Things), מכוניות אוטונומיות ועוד, ובהתאם צפויה עלייה ניכרת בשכיחותם של איומי סייבר ובמידת חומרתם.

על הגופים המבוקרים מוטלת החובה לפעול בדרך מהירה ויעילה לתיקון הליקויים שהועלו בדוח זה, כדי להעלות את רמת ההגנה של הארגון ולהיערך לטיפול מיטבי לתקיפות סייבר; להתאים את פעילותם לעולם רווי טכנולוגיות מתקדמות ולאתגרים שבפניהם יעמדו בשנים הקרובות. מתקפות הסייבר שאירעו לאחרונה מחדדות את הצורך בכך. 

לסיום, חובה נעימה היא לי להודות לעובדי משרד מבקר המדינה, הפועלים במסירות לביצוע ביקורת באופן מקצועי, מעמיק, יסודי והוגן ולפרסום דוחות ביקורת אובייקטיביים, אפקטיביים ורלוונטיים.

אנו במשרד מבקר המדינה מתחייבים להמשיך ולבקר את עמידת הגופים המבוקרים בפני סיכונים עכשוויים ועתידיים ולעסוק בתחומי הגנת הסייבר, טכנולוגיות מידע והגנת הפרטיות, לטובת אזרחי ישראל והעולם כולו.

מתניהו אנגלמן

מבקר המדינה

ונציב תלונות הציבור

ירושלים, כסלו התשפ"ג, דצמבר 2022


תוכן העניינים